Rekordösszegű bírság az adatvédelmi hatóságtól Digi-ügyben

adatvédelem
http://www.dreamstime.com/royalty-free-stock-photos-data-concept-red-opened-padlock-digital-image37936198
Vágólapra másolva!
A magyar adatvédelmi hatóság (NAIH) múlt héten nyilvánosságra hozott döntésében 100 millió forintos adatvédelmi bírságot szabott ki a Digi hírközlési és médiaszolgáltató cég magyarországi leányvállalatára. Ez a bírság az uniós adatvédelmi rendelet (GDPR) alkalmazása, azaz 2018 májusa óta eltelt időszak legmagasabb összegű bírsága. Az SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője a NAIH döntését elemezi, illetve azt is megvizsgálja, milyen konklúziókat lehet levonni a határozatból.
Vágólapra másolva!

Dr. Osztopáni Krisztián, az SBGK Ügyvédek és Szabadalmi Ügyvivők adatvédelmi csoportjának tagja kifejtette: 2019. szeptemberében egy etikus hacker felfedezte, hogy a digi.hu honlap egyik sérülékenységét kihasználva rengeteg személyes adathoz lehetett szabadon hozzáférni.

Ez a gyakorlatban két adatbázist jelentett: az egyik adatbázisban az előfizetők szerződéses adatai voltak, a másikban pedig a hírlevélre feliratkozók, illetve a rendszergazdák hozzáférési adatai szerepeltek. Az adatbázisokat a Digi egyik munkavállalója hozta létre, mivel egy informatikai hiba miatt nem érte el a webszerveren tárolt adatbázisokat, és ezért a hiba kiküszöbölése céljából ideiglenesen megalkotta ezeket a külön adatbázisokat.

Az etikus hacker segítő szándékkal jelezte ezt a sérülékenységet a Diginek, amely kijavította a hibát. Ugyanakkor mivel az etikus hacker a tevékenysége során jogosulatlanul hozzáfért személyes adatokhoz, ezért a Digi - a GDPR szerinti kötelezettségének eleget téve - az incidensről bejelentést tett a NAIH-hoz. A Hatóság ezen bejelentés alapján indított vizsgálatot a Digivel szemben.

Adatbiztonsági hiányosságok

A határozat megállapításai túlnyomórészt azzal foglalkoznak, hogy megfelelőek voltak-e a Digi informatikai biztonságra vonatkozó intézkedései. A GDPR alapvetően kockázatokkal arányos adatbiztonsági szintet vár el a cégektől: minél több személyre vonatkozóan, minél inkább a magánszféra szempontjából "érzékeny" adatot kezel egy cég, annál magasabb szintűnek kell lennie az informatikai biztonságnak.

A NAIH a döntésében úgy fogalmazott, hogy "Magyarország lakosságának arányában is jelentős számú" személyek adatai voltak az adatbázisban (az üzleti titok védelme miatt a határozatból a Hatóság törölte a pontos számokat).

Ezen adatok ráadásul a magánszféra szempontjából "érzékeny" adatoknak minősülnek, hiszen az adatbázisban szereplő adatokkal (például egy adott személy neve, anyja neve, születési helye és ideje vagy a személyi igazolványának száma) személyazonosság-lopás vagy személyazonossággal visszaélés is elkövethető (például: jogellenesen online szerződést lehet kötni valakinek a nevében).

A NAIH határozata alapján megállapítható, hogy a cégnek ezen kockázatokra figyelemmel kellett volna meghoznia és alkalmaznia a szükséges biztonsági intézkedéseket. A Hatóság értékelése szerint a Digi nem gondoskodott a kockázatokkal arányos adatbiztonsági intézkedésekről – emelte ki a SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője.

Egyrészt, bár a cég azt állította, hogy rendszeresen végez sérülékenységvizsgálatot az informatikai rendszereiben, ezek a vizsgálatok az incidens bekövetkezéséig a digi.hu weboldalra nem terjedtek ki. A sérülékenységvizsgálatok egyébként épp azt hivatottak feltérképezni, hogy milyen szoftverhibák, gyenge jelszavak vagy más hibás beállítások lehetnek például egy honlappal kapcsolatban.

A NAIH döntése szerint a Digi egy nyilvánosan elérhető, ügyfelek által látogatott weboldal kapcsán mellőzte a sérülékenységvizsgálatot, ami pedig lehetővé tette azt, hogy a sérülékenységre - a konkrét incidens bekövetkezéséig - ne derüljön fény. A Hatóság megállapítása szerint az esetleges sérülékenységekre való felkészültség elvárható a Digitől, különösen amiatt, mivel a sérülékenységet olyan, széles körben elterjedt eszközök segítségével fel lehetett volna tárni, amely sem különösebb szakértelmet, sem különösebb költséget nem jelentett volna a cég számára.

A Hatóság a döntésében arra is kitért, hogy az etikus hacker által felfedezett biztonsági rés egyébként már több mint 9 éve ismert volt és rendelkezésre állt hozzá javítás (szoftverfrissítés) is. Ezt azonban a Digi korábban nem telepítette. Az eljárás során a cég úgy nyilatkozott, ennek oka az volt, hogy a javítás nem képezte részét a szoftverhez hivatalosan kiadott javítás-csomagoknak, hiszen az csak egy "nem hivatalos" javításcsomag volt.

Forrás: SBGK Ügyvédek és Szabadalmi Ügyvivők/ Végel Dániel

A NAIH ugyanakkor ezt az érvelést nem fogadta el, különösképp arra tekintettel, mivel mind a biztonsági rés leírását, mind pedig annak ingyenes, bárki számára elérhető javítását a Digi által használt szoftver hivatalos honlapján található "fórum" rovatban közzétették.

A Hatóság a döntésében nem tulajdonított annak jelentőséget, hogy az etikus hacker mindössze az adatbázis egyik sorát mentette le bizonyítékként és küldte meg a Diginek levelében, további illetéktelen hozzáférésre pedig egyáltalán nincs bizonyíték. A Hatóság álláspontja szerint ez nem befolyásolja azt, hogy megítélése szerint milyen adatbiztonsági hiányosságok voltak az adatbázisokkal kapcsolatban.

Erre figyelemmel a határozatból következtetést lehet levonni, az a körülmény, hogy mindössze egy személy (az etikus hacker) férhetett hozzá jogosulatlanul az adatokhoz, legfeljebb az adatvédelmi incidens súlyosságát csökkentheti, de egyáltalán nem jelenti azt, hogy az informatikai biztonság szintje egyébként megfelelő lett volna.

Ezen túlmenően a NAIH a titkosítás hiányát is számon kérte a cégen. A Hatóság a döntésében kifejtette, hogy a Digi által használt szoftver lehetőséget biztosított volna az adatok titkosítására, és az többletköltséget sem jelentett volna a számára. A cég a hatósági eljárás során azt nyilatkozta, hogy azért nem alkalmazott titkosítást, mivel ez az adatbázis működésében problémát okozhatott volna. A NAIH ezt nem fogadta el, mivel a Digi az eljárás során nem részletezte azt, hogy miért tartja problémásnak a konkrét adatkezeléssel kapcsolatban a titkosítást. Ennek hiányában pedig a cég nem igazolta azt, hogy a titkosítás negatív következményekkel járt volna a számára.

Google News
A legfrissebb hírekért kövess minket az Origo Google News oldalán is!